惡意域名訪問攔截技術的應用研究

黃勇軍 林玲 段夢霞

摘 要：針對目前電力行業信息內網存在的疑似勒索病毒的惡意域名訪問，以及終端主機可能被植入遠控木馬和僵尸程序的安全威脅情況，結合電力企業實際，對電力企業惡意域名訪問攔截技術進行了應用研究。文章首先介紹了了惡意域名訪問的發現方法，然后根據電力企業內網的實際情況，提出了兩種攔截技術的應用方法。通過采用多種惡意域名攔截技術，可以有效地在局域網內部對惡意域名的訪問進行攔截，保障信息網絡運行安全。

關鍵詞：DNS；惡意域名；hosts；IPS

0 引言

近期，江西公司內網發現網絡中存在大量的疑似勒索病毒行為，發送較多勒索病毒特定的DNS域名解析請求及大量的445端口隨機網段掃描行為，而主機大量訪問遠程控制木馬類惡意域名的情況，則存在被植入遠控木馬和僵尸程序的安全威脅。入侵者可以通過遠控木馬控制目標主機的操作權限，可以用來監視用戶行為、篡改文件、傳播病毒、淪為跳板機、組建僵尸網絡等多種高危操作。

公司信息內網的安全性對公司安全生產工作至關重要，主機（含服務器、個人終端等）一旦感染惡意程序，將會給企業內網帶來嚴重的潛在威脅，同時DNS作為信息網絡最基礎服務，一旦大量的未知域名訪問請求很可能會造成DNS服務器宕機，從而造成依靠其服務的各類應用訪問中斷。

九江公司通過在修改終端本地Hosts文件以及通過內網防火墻DPtech DPX8000 IPS模塊進行DNS未知訪問攔截，有效地攔截了未知域名對省公司DNS服務器的訪問，同時也可以及時地發現可疑主機，然后進行“精準”查殺。

1、問題描述

江西省公司多次通報了各地市縣疑似感染勒索病毒特定的DNS域名解析請求的感染終端，通過與省公司的確認和我們核心交換機抓包統計發現，感染的終端都存在未知域名訪問省公司DNS服務器。

確認終端是否感染病毒（程序）訪問未知域名辦法主要有以下3種：

1）查看終端網絡連接

通過終端“資源監視器”，可以查看本機相關程序訪問DNS服務器的網絡連接，大流量多程序的訪問一般存在惡意軟件。

2）核心交換機抓包

通過在核心交換機出口設置鏡像端口，利用wireshark進行流量抓包，提取非“sgcc”域名，然后數據導出統計分析可以查看哪些終端存在大量訪問省公司DNS服務器，從而判斷是否感染惡意軟件。

3）防火墻IPS日志查看

通過登錄內網UTM 防火墻，查看IPS模塊的日志，可以發現那些終端在大量訪問DNS服務器，從而判斷感染終端情況。

由于未知域名訪問一般與竊密木馬關聯，可使受感染主機自動向外發送數據，被用來竊取各種敏感信息和機密數據。目前公司內網360查殺還存在一定的局限性，全盤查殺后，依然存在未知域名的訪問程序。通過研究和測試，九江公司采用了通過在修改終端本地Hosts文件以及內網防火墻IPS模塊進行DNS異常訪問攔截兩種組合方法，有效攔截未知域名向省公司域名服務器的訪問。

2、主要做法

1）修改終端hosts文件，從終端層面攔截惡意域名訪問

終端主機解析域名的順序為主機緩存，本機hosts文件，DNS服務器，所以修改本機的host文件，將惡意域名訪問導向本地地址，從而從終端層面攔截惡意域名訪問，而惡意域名庫的統計則可以通過省公司通報或核心交換機流量抓包獲取。

編寫惡意域名處理批處理文件（.bat），然后通過桌面管理系統推送到各個客戶端實現終端全面覆蓋，但在推送過程可能會被360殺毒軟件攔截，這時則必須手動干預運行。

2）添加IPS 自定義特征，從網絡層面攔截惡意域名訪問

通過在內網防火墻UTM的IPS模塊添加自定義特征，即將惡意域名加入攔截的IPS特征庫，則IPS在網絡層將其攔截，然后查看IPS日志可以確定是哪些終端感染惡意軟件。具體做法如下：

1）添加IPS規則

IPS規則模塊通過配置攻擊防御規則，對匹配IT資源、攻擊類型、協議等的攻擊報文采取相應的動作。

選擇【IPS】=>【入侵防御】=>【IPS規則】，進入IPS規則配置頁面，

配置規則名稱，選擇IT資源、攻擊類型和協議，為不同程度的攻擊特征指定相應的防護動作。用戶可配置例外特征ID，設備對此特征將不進行防護動作。

攻擊特征包括致命、嚴重、一般和告警，防護動作及其說明如下：

告警：生成IPS日志。

阻斷：阻斷攻擊報文通過設備。

阻斷+源TCP Reset：阻斷并主動斷開源TCP連接。

阻斷+目的TCP Reset：阻斷并主動斷開目的TCP連接。

阻斷+雙向TCP Reset：阻斷并主動斷開雙向TCP連接。

2）添加IPS策略-接口策略

IPS接口策略通過在報文入接口上引用IPS規則實現防護功能。同時可配置策略作用的VLAN，以及生效的時間。

選擇【IPS】=>【入侵防御】=>【IPS策略】=>【IPS接口策略】，進入IPS接口策略配置頁面，配置IPS引用規則。

3） 添加IPS 特征管理-自定義特征

選擇【IPS】=>【入侵防御】=>【IPS特征管理】=>【IPS自定義特征】，進入IPS自定義特征配置頁面。

為了將惡意域名全部攔截，我們都選擇“致命”等級。

4） IPS日志查詢

選擇【IPS】=>【入侵防御】=>【IPS日志】=>【IPS日志查詢】，進入IPS日志查詢頁面，可以看到存在大量被攔截的惡意域名訪問請求，從而確定哪些終端被感染。

3 經驗總結

根據有關報告，91.3%的惡意程序是通過特定域名（網址）來控制被感染的主機。一旦主機訪問了惡意程序所注冊的域名，則基本能斷定主機感染了惡意程序。九江組合惡意域名攔截技術，通過本地和防火墻的雙層攔截，基本阻斷了惡意域名的“出口”訪問，有效地保護了省公司DNS服務，同時通過IPS攔截更“精準”地定位了感染惡意程序的主機。

參考文獻：

[1]袁福祥，劉粉林，蘆斌，等.基于歷史數據的異常域名檢測算法[J]. 通信學報，2016，（10）：172-180

[2]張雪松，徐小琳，李青山.算法生成惡意域名的實時檢測[J].現代電信科技，2013，（7）：3-8

[3]張永斌，陸寅，張艷寧.基于組行為特征的惡意域名檢測[J].計算機科學，2013，（8）：146-148

[4]張維維，龔儉，劉茜，劉尚東，胡曉艷.基于詞素特征的輕量級域名檢測算法[J].軟件學報，2016，（9）

[5]胡榮貴，許成喜，汪永益，張亮.馬爾科夫鏈在域名信息探測中的應用[J].計算機應用與軟件，2015，（6）：152-155

[6]黃凱，傅建明，黃堅偉，等.一種基于字符及解析特征的惡意域名檢測方法[J].計算機仿真，2018，（3）